Investigación
Páginas: 5 (1094 palabras)
Publicado: 7 de febrero de 2011
Seguridad en aplicaciones web*
*connectedthinking
PwC
Agenda
Motivación Aspectos Generales Infraestructura Aplicaciones de Terceros Modelos de Seguridad Controles Básicos
Motivación
• Históricamente, los desarrolladores de aplicaciones siempre han trabajado en un ambiente que se considera seguro (redes internas, aplicaciones “in-house”, etc.) • Cuando estas aplicaciones seexponen a posibles ataques a través de Internet, es necesario tomar especial cuidado en la seguridad programada dentro de las mismas • Es importante recordar que la utilización de mecanismos adecuados de seguridad perimetral (firewalls, servicios de SSL en los servidores, etc.) no representa una protección ante ataques a las aplicaciones • Se analizarán entonces algunos aspectos básicos a tener encuenta para los desarrollos destinados a Internet
PricewaterhouseCoopers Setiembre 2006
Aspectos Generales
• El tema de seguridad debe ser considerado desde las primeras etapas del proyecto • Desde el diseño hasta la propia implementación, es necesario considerar cuales son los aspectos claves de seguridad • Los controles no pueden ser algo “a agregar” luego de obtener cierta funcionalidadbásica • Es importante recordar la relevancia de la identificación de riesgos y valuación de las mismos – en general a través de la clasificación de los datos y procesos a manejar por la aplicación • Evitar la falsa competencia “seguridad vs. usabilidad”
PricewaterhouseCoopers Setiembre 2006
Aspectos Generales
• Dentro de las especificaciones de los planes de prueba para la aplicación sedebe incluir el tema de la seguridad • Debería establecerse como un objetivo a probar que el sistema sea inmune a determinadas clases de ataques, en forma similar a lo que luego de instalado se consideraría un test de penetración • Un tema adicional a considerar es la seguridad de cualquier tipo de datos privados de terceros que los sistemas manejen, para evitar contingencias legalesPricewaterhouseCoopers
Setiembre 2006
Infraestructura
• La infraestructura a nivel de seguridad debería seguir razonablemente el concepto de múltiples capas • Una arquitectura tradicional podría incluir: - Zona de seguridad baja (servidor web con la parte de presentación exclusivamente) - Zona de seguridad media (servidor de aplicaciones con módulos compilados) - Zona de seguridad alta (servidor debase de datos con información sensitiva)
PricewaterhouseCoopers
Setiembre 2006
Infraestructura
• La principal ventaja de contar con este esquema es que los criterios de protección en cada zona pueden ser diferentes • Idealmente, se contaría con firewalls (con diferentes configuraciones) en los bordes de cada zona y con detectores de intrusos en cada una de ellas • De este modo esposible tomar decisiones adecuadas ante diferentes ataques, y teniendo la indicación de que un ataque en una zona implica el compromiso de la zona anterior
PricewaterhouseCoopers
Setiembre 2006
Aplicaciones de Terceros
• En muchos casos, la solución a implementar involucrará aplicaciones o sistemas de algún proveedor • Asegurar (o al menos estimar) la seguridad de estos productos es unaspecto importante al considerar la seguridad del esquema completo • En los casos donde sea posible, se deben incluir aspectos de seguridad en los acuerdos de nivel de servicio, o en los requerimientos contractuales con el proveedor • Para los proveedores de servicios/aplicaciones, el poder garantizar la seguridad de sus productos puede representarles una ventaja competitiva
PricewaterhouseCoopersSetiembre 2006
Aplicaciones de Terceros
• Algunos temas a considerar: - Profesionalismo del proveedor y del sistema considerado - Historia del proveedor en cuanto a temas de seguridad (calidad del soporte, ataques efectivos en el pasado, periodicidad de “patches”, vulnerabilidades publicadas) - Elementos de seguridad del propio sistema (intentar atacarlo mediante mecanismos usuales,...
*connectedthinking
PwC
Agenda
Motivación Aspectos Generales Infraestructura Aplicaciones de Terceros Modelos de Seguridad Controles Básicos
Motivación
• Históricamente, los desarrolladores de aplicaciones siempre han trabajado en un ambiente que se considera seguro (redes internas, aplicaciones “in-house”, etc.) • Cuando estas aplicaciones seexponen a posibles ataques a través de Internet, es necesario tomar especial cuidado en la seguridad programada dentro de las mismas • Es importante recordar que la utilización de mecanismos adecuados de seguridad perimetral (firewalls, servicios de SSL en los servidores, etc.) no representa una protección ante ataques a las aplicaciones • Se analizarán entonces algunos aspectos básicos a tener encuenta para los desarrollos destinados a Internet
PricewaterhouseCoopers Setiembre 2006
Aspectos Generales
• El tema de seguridad debe ser considerado desde las primeras etapas del proyecto • Desde el diseño hasta la propia implementación, es necesario considerar cuales son los aspectos claves de seguridad • Los controles no pueden ser algo “a agregar” luego de obtener cierta funcionalidadbásica • Es importante recordar la relevancia de la identificación de riesgos y valuación de las mismos – en general a través de la clasificación de los datos y procesos a manejar por la aplicación • Evitar la falsa competencia “seguridad vs. usabilidad”
PricewaterhouseCoopers Setiembre 2006
Aspectos Generales
• Dentro de las especificaciones de los planes de prueba para la aplicación sedebe incluir el tema de la seguridad • Debería establecerse como un objetivo a probar que el sistema sea inmune a determinadas clases de ataques, en forma similar a lo que luego de instalado se consideraría un test de penetración • Un tema adicional a considerar es la seguridad de cualquier tipo de datos privados de terceros que los sistemas manejen, para evitar contingencias legalesPricewaterhouseCoopers
Setiembre 2006
Infraestructura
• La infraestructura a nivel de seguridad debería seguir razonablemente el concepto de múltiples capas • Una arquitectura tradicional podría incluir: - Zona de seguridad baja (servidor web con la parte de presentación exclusivamente) - Zona de seguridad media (servidor de aplicaciones con módulos compilados) - Zona de seguridad alta (servidor debase de datos con información sensitiva)
PricewaterhouseCoopers
Setiembre 2006
Infraestructura
• La principal ventaja de contar con este esquema es que los criterios de protección en cada zona pueden ser diferentes • Idealmente, se contaría con firewalls (con diferentes configuraciones) en los bordes de cada zona y con detectores de intrusos en cada una de ellas • De este modo esposible tomar decisiones adecuadas ante diferentes ataques, y teniendo la indicación de que un ataque en una zona implica el compromiso de la zona anterior
PricewaterhouseCoopers
Setiembre 2006
Aplicaciones de Terceros
• En muchos casos, la solución a implementar involucrará aplicaciones o sistemas de algún proveedor • Asegurar (o al menos estimar) la seguridad de estos productos es unaspecto importante al considerar la seguridad del esquema completo • En los casos donde sea posible, se deben incluir aspectos de seguridad en los acuerdos de nivel de servicio, o en los requerimientos contractuales con el proveedor • Para los proveedores de servicios/aplicaciones, el poder garantizar la seguridad de sus productos puede representarles una ventaja competitiva
PricewaterhouseCoopersSetiembre 2006
Aplicaciones de Terceros
• Algunos temas a considerar: - Profesionalismo del proveedor y del sistema considerado - Historia del proveedor en cuanto a temas de seguridad (calidad del soporte, ataques efectivos en el pasado, periodicidad de “patches”, vulnerabilidades publicadas) - Elementos de seguridad del propio sistema (intentar atacarlo mediante mecanismos usuales,...
Leer documento completo
Regístrate para leer el documento completo.